LetsEncrypt：LetsEncrypt的中間證書

Question

我們目前使用的是LetsEncrypt SSL證書，它的運行良好。經過一些修改後，我們可以將它拖入Tomcat和Apache Web服務器中。

目前，我們要將LetsEncrypt證書添加到Etherpad，它需要intermediate CA文件。我如何從LetsEncrypt提供的4個證書文件中找到這些文件。謝謝。

LetsEncrypt SSL設置：

"ssl" : { 
      "key" : "/path-to-your/epl-server.key", 
      "cert" : "/path-to-your/epl-server.crt", 
      "ca": ["/path-to-your/epl-intermediate-cert1.crt", "/path-to-your/epl-intermediate-cert2.crt"] 
      }, 

在上面的配置我相信主要是privkey.pem轉換爲.key文件和.CRT是cert.pem轉換爲cert.crt。什麼在CA？

謝謝。

更新

設置：

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.crt", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/root.crt" 
      }, 

錯誤日誌時試圖鍵：

[2016-11-04 13:25:15.612] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues 
[2016-11-04 13:25:15.612] [INFO] console - Your Etherpad version is 1.6.0 (7dd934f) 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- enabled 
[2016-11-04 13:25:15.613] [INFO] console - SSL -- server key file: /etc/letsencrypt/live/www.project_name.de-0001/private.key 
[2016-11-04 13:25:15.614] [INFO] console - SSL -- Certificate Authority's certificate file: /etc/letsencrypt/live/www.project_name.de-0001/cert.crt 
[2016-11-04 13:25:15.615] [ERROR] console - Error: EISDIR: illegal operation on a directory, read 

Answer 1

應該有一個文件在同一目錄cert.pem稱爲chain.pem，這包含了證書鏈直到根CA（對於我的證書，它只有一個證書，但這可能會改變未來），應該是你要求的。

$ ls live/my.domain.com/ 
cert.pem chain.pem fullchain.pem privkey.pem 

我不熟悉的EtherPad的，但我的猜測是，你應該像這樣配置它：

"ssl" : { 
      "key" : "/etc/letsencrypt/live/www.project_name.de-0001/private.key", 
      "cert" : "/etc/letsencrypt/live/www.project_name.de-0001/cert.pem", 
      "ca": "/etc/letsencrypt/live/www.project_name.de-0001/chain.pem" 
      }, 

Answer 2

既然你不應該運行EtherPad的是根，但letsencrypt可能被用來作爲你的根首先需要運行etherpad實例的用戶具有對證書的讀取權限。由於我的etherpad用戶無權訪問letsencrypt 我將& &複製到另一個目錄a.e./opt/certs /我的etherpad用戶有權訪問。在檢查過期的letsencrypt證書時，這可以通過cronjob來完成。

然後在settings.json您需要添加兩個chain.pem和fullchain.pem使用

"ca":["path to chain.pem", "path to fullchain.pem"]

在settings.json的部分是這樣的：

"ssl" : { 
      "key" : "/opt/certs/privkey.pem", 
      "cert" : "/opt/certs/cert.pem", 
      "ca": ["/opt/certs/chain.pem", "/opt/certs/fullchain.pem"] 
      }, 

它fullchain.pem可能會丟失root ca. 在letsencrypt過程中，只有chain.pem沒有根CA添加。然後，您必須在chain.pem之後合併IdenTrust根證書。 fullchain.pem應該有他們，但有時它看起來像缺少鏈中的'最後'：

https://www.identrust.com/certificates/trustid/root-download-x3.html 爲我工作。

fullchain。pem看起來像這樣

-----BEGIN CERTIFICATE----- 
your chain.pem 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
the intermediate/root ca https://letsencrypt.org/certificates/ 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ 
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT 
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow 
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD 
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB 
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O 
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq 
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b 
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD 
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV 
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG 
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr 
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz 
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo 
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ 
-----END CERTIFICATE-----